Por Angel Di Matteo 𝕏 @shadowargelUna nueva campaña de malware aprovecha la Blockchain de Solana como canal encubierto para robar claves privadas, fondos cripto y datos sensibles.
***
- Malware utiliza el campo memo de Solana como canal de comunicación oculto.
- Ataque roba seed phrases, claves privadas y datos de múltiples wallets.
- Variante de GlassWorm permite control total del sistema y persiste tras reinicios.
Una nueva campaña de ciberataques está utilizando la Blockchain de Solana como infraestructura encubierta para ejecutar malware y robar fondos en criptomonedas, marcando una evolución en las tácticas utilizadas por actores maliciosos.
De acuerdo con investigadores de seguridad de Aikido Security, reseñadas por Cryptopolitan, los atacantes están abandonando servidores tradicionales de comando y control para apoyarse en sistemas descentralizados, dificultando la detección y mitigación de las amenazas.
El ataque se basa en el uso indebido del campo “memo” de las transacciones en Solana, una función originalmente diseñada para añadir notas simples. Los hackers han transformado este campo en un canal oculto para transmitir instrucciones a malware, convirtiendo una característica pública en una herramienta de control encubierta.
Uso de la Blockchain como canal de ataque
El campo memo en Solana presenta características que lo hacen atractivo para este tipo de campañas. Es público, permanente y no puede ser eliminado por ninguna entidad centralizada, lo que permite a los atacantes mantener comunicación constante sin riesgo de interrupción.
Además, este mecanismo permite actualizar instrucciones sin necesidad de modificar el malware instalado en el sistema de la víctima, lo que incrementa la flexibilidad y persistencia del ataque.
Según los investigadores, esta campaña representa una evolución del malware conocido como GlassWorm, activo al menos desde 2022 y ahora adaptado para aprovechar infraestructuras descentralizadas.
El uso de blockchains como canal de comando introduce un nuevo desafío para los sistemas de defensa tradicionales, que suelen centrarse en bloquear servidores centralizados.
Tres fases del ataque
El ataque identificado se compone de tres etapas o “payloads”. La primera funciona como punto de entrada y se activa cuando un desarrollador instala un paquete malicioso desde repositorios de código abierto como npm, PyPI, GitHub o Open VSX.
Una vez instalado, el malware verifica la configuración regional del sistema. Si detecta que el usuario está en Rusia, el ataque no continúa, lo que sugiere que los operadores podrían estar ubicados en ese país y buscan evitar acciones legales locales.
Posteriormente, el malware consulta la Blockchain de Solana en busca de una transacción específica cuyo campo memo contiene la dirección IP del servidor de comando y control. Este mecanismo actúa como un “dead drop resolver”, es decir, un punto oculto desde donde obtener instrucciones.
En la segunda fase, el malware se conecta al servidor identificado y comienza a recolectar datos sensibles. Entre los objetivos se encuentran frases semilla, claves privadas y capturas de pantalla de billeteras.
El software malicioso apunta a extensiones de navegador ampliamente utilizadas como MetaMask, Phantom, Coinbase Wallet, Exodus, Binance, Ronin Wallet y Keplr, entre otras.
Asimismo, recopila datos del navegador como sesiones activas, tokens de autenticación y accesos a servicios en la nube, lo que puede comprometer cuentas en exchanges centralizados, repositorios de código y plataformas como AWS.
Una vez recolectada la información, esta se comprime en un archivo ZIP y se envía al servidor del atacante.
Ataques a hardware wallets y control remoto
La tercera fase del ataque incluye dos componentes adicionales. El primero es un ejecutable que busca dispositivos físicos como Ledger y Trezor.
Si detecta uno de estos dispositivos, muestra un mensaje de error falso diseñado para engañar al usuario y hacer que introduzca su frase de recuperación, comprometiendo así la seguridad de la wallet.
El segundo componente es un troyano de acceso remoto basado en JavaScript que utiliza WebSockets para mantener control activo sobre el sistema. Este malware puede monitorear el navegador en tiempo real, capturar cookies, registrar pulsaciones de teclado y tomar capturas de pantalla.
Además, instala una extensión falsa en Chrome que intercepta actividad en sitios específicos como exchanges, permitiendo robar credenciales de sesión en tiempo real.
Este componente también se distribuye mediante eventos de Google Calendar que actúan como intermediarios para ocultar la infraestructura real del atacante, evitando sistemas de detección.
Persistencia y dificultad de mitigación
Uno de los aspectos más preocupantes de esta variante de GlassWorm es su capacidad de persistencia. El malware puede reinstalarse automáticamente y sobrevivir a reinicios del sistema.
También utiliza métodos alternativos como búsquedas en tablas hash distribuidas (DHT) y nuevamente la Blockchain de Solana para localizar el servidor de control, lo que dificulta su neutralización.
Debido a la ausencia de un servidor central y a la distribución de datos en múltiples nodos, los mecanismos tradicionales de defensa a nivel de red resultan menos efectivos.
Los investigadores advierten que esta campaña es particularmente peligrosa debido a su combinación de robo de activos cripto, acceso completo al sistema y resistencia a la eliminación.
Este tipo de ataques refleja una tendencia creciente en la que tecnologías diseñadas para descentralización y transparencia pueden ser reutilizadas con fines maliciosos, planteando nuevos retos para la seguridad en el ecosistema Blockchain.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Análisis de mercado
Bitcoin enfrenta señales de miedo mientras traders pagan más por protección ante caídas
Análisis de mercado
Bnb cae 5,25% en 24 horas ante presiones bajistas
Análisis de mercado
Dogecoin cae 4,57% ante volumen menguante
Análisis de mercado